Umsetzung von Z-Operations-Schemata in Implementationen

Umsetzung von Z-Operations-Schemata in Implementationen

Jan Peleska, Jan Bredereke Vorlesung SCS 3, 20.5.2003

Scheduling-Struktur f¨ ur sicherheitsrelevante Systeme

A. Priorit¨ aten-gesteuertes, pr¨ aemptives Scheduling B. Zyklisches sequentielles Scheduling

• nicht pr¨ aemptiv

A. Priorit¨ aten-gesteuertes, pr¨ aemptives Scheduling

+ einfache Anwendungsprogrammierung:

+ keine Zeit¨ uberwachung (Dauer der CPU-Nutzung) erforderlich + sequentielles Programmiermodell:

Warten auf ben¨ otigte Inputs ist erlaubt + Priorit¨ aten gem¨ aß Sicherheitsrelevanz einstellbar

+ schnelles Interrupt-Handling f¨ ur sicherheitsrelevante Unterbrechungen

→ Low-Latency -Kernel erforderlich:

Auch BS-Operationen k¨ onnen

” schnell“ unterbrochen werden, um eine kritische Applikation zu starten.

Kernel-Preemption: Kernel-Aufgaben sind unterbrechbar.

− schwer verifizierbar

B. Zyklisches sequentielles Scheduling

+ garantierte Zykluszeiten

+ keine Interrupts, sondern Interface-Polling + DMA

+ Dual-Ported RAM (auf I/O-Karte) (braucht weniger BS-Unterst¨ utzung)

− CPU-Zeit f¨ ur vergebliches Polling

1

+ leichte Verifizierbarkeit:

Reaktion auf kritischen Input erfolgt sp¨ atestens nach einem Zyklus

− State-Machine-Programmiermodell:

statt Warten auf Inputs:

1. Zustand merken 2. CPU freigeben

− Zeit¨ uberwachung muß in der Applikation erfolgen (deshalb oft Hardware-Watchdog notwendig)

Von einer Z-Spezifikation zur Programmstruktur

1. Z-Schemata definieren i.a. partielle Operationen.

Sie sind nur auf einer Teilmenge des Zustandsraums ausf¨ uhrbar. Diese ist durch die Precondition des Schemas definiert.

2. Ziel: Eine totale Operation aus den einzelnen Schemata herstellen durch Schemakompo- sition

• Schema-Konjunktion: S

= S

∧ S

∧ . . . ∧ S

• Schema-Disjunktion: S

= S

∨ S

∨ . . . ∨ S

3. Umsetzung von S

: while (1) {

S1();

S2();

...

Sn();

}

void Si() {

if ("pre-condition erf¨ ullt") { ...

} }

2